Date:
7 Feb 2024
Auteur:
PREO AG
Sur site vs. cloud
De potentielles failles souvent négligées
Presque toutes les grandes entreprises ont recours à des structures informatiques en cloud et utilisent ces services à des degrés et intensités variables. La plupart des départements informatiques travaillent depuis un certain temps à l'élaboration de stratégies globales en matière d'informatique dématérialisée ou tout du moins les ont mises à l'ordre du jour. Toutefois, avec l'entrée dans le cloud, que ce soit sous la forme d'une architecture hybride ou d'une solution complète, les risques liés à la sécurité spécifiques au cloud augmentent également. C'est la raison pour laquelle les grandes entreprises opérant à l'échelle internationale et les fournisseurs de services cloud investissent des milliards dans la sécurisation des infrastructures en cloud dans le monde entier. Si vous souhaitez minimiser efficacement les risques, il faut non seulement s’intéresser aux scénarios de risques majeurs, tels que la disponibilité de l'infrastructure physique, les cyber-attaques ciblées ou le verrouillage des fournisseurs, mais également garder un œil sur les failles indirectes plus petites.
C'est pourquoi nous analysons dans cet article de blog les risques potentiels suivants pour la sécurité du cloud : les dispositifs numériques finaux, le multi-cloud et le shadow IT, ainsi que le facteur de risque humain. Nous utilisons en outre un exemple pratique pour démontrer pourquoi les entreprises non seulement délaissent le cloud en partie ou en totalité pour des raisons de sécurité, mais également pourquoi elles optent pour des solutions sur site qui ont fait leurs preuves.
Risque lié à la sécurité des dispositifs numériques dans le cloud
Tous les appareils numériques avec lesquels les utilisateurs finaux accèdent aux services cloud doivent répondre aux mêmes normes de sécurité élevées que l'infrastructure cloud elle-même, afin qu'ils ne deviennent pas par inadvertance un risque. Dans les grandes entreprises ou les organisations multisites et internationales, cette exigence peut devenir un défi constant consommant beaucoup de temps et de ressources. Le simple fait de devoir maintenir au niveau de sécurité actuellement requis l’important nombre d'appareils utilisés, tels que les PC, les ordinateurs portables, les tablettes, les smartphones, mais aussi les serveurs ou les imprimantes de réseau, lorsqu’ils sont connectés au cloud, s'apparente littéralement à une tâche sans fin. Par conséquent, les services informatiques standardisent souvent la sécurité des appareils et la sous-estiment en ne prenant souvent pas suffisamment en compte les risques, notamment indirects, dus par exemple à des problèmes d'interface.
Risques de sécurité liés au Cloud-Computing, au multi-cloud et au Shadow IT
Alors que les petites entreprises n’utilisent souvent que quelques services cloud, les moyennes ou grandes entreprises optent souvent pour une solution multi-cloud dans le cadre de leur stratégie d’informatique dématérialisée. L'objectif est de maintenir au plus haut niveau possible la flexibilité, la disponibilité et la sécurité des ressources nécessaires. Il s'agit en particulier d'éviter une dépendance excessive et unilatérale à l'égard d'un seul fournisseur de services cloud, comme c'est le cas avec le verrouillage des fournisseurs (vendor lock-in). Il est à ce titre particulièrement courant de combiner d’une part un cloud public pour les charges de travail standardisables et facilement extensibles et d’autre part un cloud privé pour les données et les applications sensibles. Toutefois, comme toutes les interfaces systémiques, elles constituent une cible de choix pour le Cloud-Computing et doivent être traitées en priorité par les départements informatiques dans le cadre de la gestion des risques liés au cloud.
Le phénomène bien connu - mais toujours sous-estimé - du shadow IT, qui s'accompagne souvent d'un autre cloud, dit "en expansion", est plus difficile à appréhender. La diffusion incontrôlée de logiciels dans le cloud, par exemple dans les comptes personnels des employés ou dans les comptes départementaux auprès de fournisseurs de cloud publics plus ou moins sécurisés, est une porte d'entrée idéale pour les cybercriminels. En règle générale, le service informatique interne n'est pas au courant de l'existence de cette informatique "fantôme", et donc en conséquence aucune mesure de sécurité spécifique n'est prise. Le risque est donc particulièrement élevé et, selon le scénario de l'attaque, peut rapidement menacer la viabilité commerciale de l'ensemble de l'entreprise. Pour minimiser efficacement ce risque, il est important que les entreprises identifient et gèrent en permanence les systèmes informatiques fantômes et les intègrent dans la stratégie informatique officielle ou trouvent des solutions de remplacement sécurisées. Pour ce faire, toutes les unités organisationnelles doivent être sensibilisées à ces risques de sécurité existants, par exemple par le biais de formations régulières ou de cours d'auto-apprentissage.
Risque lié au facteur humain pour la sécurité du Cloud-Computing
La réussite des cyberattaques dans le cloud a tendance à être particulièrement impactée par le facteur humain. Les exemples typiques sont les failles dues à une mauvaise administration ou à une mauvaise configuration de l'interface, ainsi que les erreurs d'application. Une gestion active des risques liés au Cloud-Computing, allant de tests réguliers à des simulations de cyberattaques ciblant l'infrastructure informatique existante, permet de découvrir ces failles le plus tôt possible et de les combler de manière proactive.
Le facteur humain revêt également une dimension importante pour la sécurité dans le domaine des identités numériques. Outre les vols et détournements illégaux, il peut y avoir des cas d’abus de fonctions d’utilisateur ou d’administrateur. Même les machines virtuelles sont de plus en plus nombreuses à utiliser les services cloud. La gestion active des identités et des accès, ou IAM, intégrée à la stratégie de sécurité informatique est donc d'une importance capitale lorsqu'il s'agit de minimiser les risques de sécurité au sein du Cloud-Computing.
Avis sur le Cloud-Computing : pourquoi Swedex, entreprise de taille moyenne, revient à l'informatique sur site
L’entreprise de taille moyenne Swedex, basée à Essen et employant environ 300 personnes, a constaté qu'une solution "full cloud" n'est pas seulement un défi en matière de sécurité, mais qu'elle peut également entraîner une augmentation des coûts qui sont parfois difficiles à calculer. Cette entreprise de taille moyenne, l'un des principaux fournisseurs européens dans le domaine de l’envoi de documents, a donc souhaité réduire ses coûts et sa dépendance à l'égard d'un grand fournisseur de services cloud et s’est par conséquent mise à chercher une alternative indépendante et abordable. Résultat, après trois ans dans le cloud Microsoft, les dirigeants ont décidé de revenir à un fonctionnement sur site. L'intégration des licences de logiciels d'occasion de PREO leur a permis de réaliser des économies considérables, de l'ordre de 100 000 euros, sur les coûts de licences courantes. Pour plus d'informations sur cet exemple et d'autres cas clients, cliquez ici.
Large gamme de licences de volume d'occasion
PREO propose aux entreprises, aux organisations et aux administrations publiques un large choix de licences en volume d'occasion pour les versions actuelles et anciennes de logiciels standard des fabricants leaders sur le marché, tels que Microsoft et Adobe. Quel que soit le besoin en logiciels d'occasion, avec PREO, les petites, moyennes et grandes entreprises ont tous les atouts de leur côté :
- Des économies considérables sur les coûts de licence en cours, jusqu'à 70 % par rapport à la version actuelle correspondante.
- Acquisition de licences 100% conformes à la législation et à l'épreuve des audits, avec une transparence maximale à toutes les étapes du processus, y compris une documentation complète sur le portail de licences PREO "Easy Compliance".
- De nombreuses années d'expérience dans l'intégration de licences de logiciels d'occasion dans des structures de réseau classiques ou des modèles de licences hybrides.
- Capacités avérées pour la gestion des licences de logiciel pour les grands projets d'infrastructure informatique comportant des milliers de postes de travail et une implantation transnationale.
- Contribution active à la réduction de l'empreinte CO2 dans le secteur des technologies de l'information grâce à une économie circulaire préservant les ressources, y compris l'extension des cycles des logiciels et du matériel.
- Des projets de référence impressionnants, réalisés avec succès pour de nombreuses entreprises renommées dans un large éventail de secteurs.
À ce propos : PREO est heureux d'acquérir des logiciels obsolètes ou devenus inutiles à des conditions intéressantes. Nos experts en licences se feront un plaisir de vous conseiller personnellement et de vous fournir un devis gratuit et sans engagement.
